Osint : des professionnels et députés veulent autoriser la récupération de leaks
Le 6 mai 2025, des professionnels, juristes et politiques ont déjeuné ensemble pour discuter d'une offre législative visant à autoriser la récupération de données issues de leaks. Etaient présents les députés Philippe Latombe (Modem), Thomas Gassilloud (Renaissance), le collaborateur parlementaire de Caroline Colombier (Rassemblement national), des représentants de l'Alliance pour la confiance numérique (ACN) et du Groupement des industries françaises de défense et de sécurité terrestre et aéroterrestre (Gicat). Y participaient aussi le professeur de droit Michel Séjean, Johanna Brousse, vice-procureure en charge de la cybercriminalité au parquet de Paris, et des représentants d'acteur privés comme AnozrWay, société spécialisée dans l'Osint (open-source intelligence).
Ce déjeuner organisé par CyberTaskForce, agence d'influence au sein de l'écosystème cyber, a permis à Michel Séjean de présenter des amendements législatifs pour "avaliser la pratique que les gens ont de l'Osint malgré la crainte de la sanction", indique-t-il. Et pour cause, de nombreux professionnels récupèrent des données volées dans le cadre de leurs fonctions. Or ce stockage de leaks est qualifié de recel par le code pénal. En effet, celui-ci condamne à cinq ans d'emprisonnement et 375 000 euros d'amende le fait de détenir et transmettre quelque chose qui provient d'un crime ou d'un délit comme le sont très souvent les données issues de leaks. "Nous voulons permettre aux professionnels de pratiquer l'Osint librement quand ils sécurisent le cyberespace", précise ce spécialiste reconnu du droit de la cybersécurité.
Pour cela, il propose de rendre possible la récolte de données issues de fuites pour "motif légitime, notamment de recherche et de sécurité informatique." "L'idée est de permettre cette récolte aux acteurs qui ont une légitimité et un intérêt manifeste de pouvoir le faire", précise le hacker Baptiste Robert, qui soutient cette offre législative. Le cofondateur de Predicta Lab, société spécialisée dans l'Osint, estime qu'il s'agit de s'inspirer du pentester qui est autorisé à s'introduire dans un système d'information quand "il le fait avec le motif légitime de tester la sécurité de l'infrastructure".
Rompre avec l'insécurité juridique
Selon le hacker, les professionnels de l'Osint ne peuvent pas "travailler de manière sereine car il y a aujourd'hui un flou juridique en la matière". Exemple : quand ils récoltent des données issues de leaks pour des clients qui veulent les utiliser comme des preuves lors d'un procès, "ils doivent blanchir l'information en trouvant un moyen légitime d'accès à celle-ci pour pouvoir la présenter au juge" précise-t-il. Pourtant le parquet tolère la récupération de données issues de fuites selon Michel Séjean. Mais cette tolérance ne suffit pas à rassurer les professionnels de l'Osint car "le parquet garde l'opportunité des poursuites : il peut très bien décider demain de poursuivre ces professionnels pour recel".
Selon le professeur, cette insécurité juridique aurait pour effet d'amener certaines banques à refuser de récupérer leurs propres données volées par peur d'être accusées de recel. Il indique aussi que certains services de l'Etat comme le Commandement de la cyberdefense (Comcyber) seraient concernés par le même phénomène. Celui-ci aurait comme instruction interne d'interdire à ses officiers d'exploiter des fuites de données à cause du flou juridique en la matière.
Pour rompre avec cette insécurité juridique, "il faut donc faire passer la doctrine de tolérance du parquet dans la loi", affirme Michel Séjean. Yoann Kassianides, délégué général de l'ACN et soutien de cette offre législative, estime que celle-ci est une nécessité même au regard de la transposition actuelle de NIS 2. Et pour cause, la directive européenne précise que "les Etats membres sont encouragés à adopter des lignes directrices concernant l'absence de poursuites contre les auteurs de recherches en matière de sécurité de l'information". Assimilant la récupération de données issues de leaks pour motif légitime à de la sécurité de l'information, Michel Séjean soutient donc que son offre législative doit être introduite dans le projet de transposition de NIS 2. Toutefois, cela n'est pas l'avis du député Philippe Latombe. Selon lui, une proposition de loi serait plus adaptée à ce sujet afin de "l'aborder calmement étant donné qu'il mobilise beaucoup d'interlocuteurs".
Des règles existent déjà
Pour Baptiste Robert, cette insécurité juridique porterait atteinte à la "compétitivité" de la France en matière d'Osint. "On a un manque de compétitivité par rapport à nos concurrents américains, israéliens et russes. Aussi, ce flou juridique fait que la France est en retard sur le plan de l'innovation dans le domaine de l'investigation en sources ouvertes. Enfin, beaucoup de professionnels français n'osent pas entreprendre dans ce domaine par peur des poursuites" argument-t-il.
Cependant, Aleph Networks, société spécialisée dans l'Osint, ne partage pas le même avis. Selon Nicolas Hernandez, son fondateur, les règles actuelles qui régissent la recherche sur Internet de fuite d'informations (Rifi) suffisent. Tout en respectant le code pénal et le Règlement général de la protection des données, la Rifi permet de détecter des fuites de données en analysant des volumes très importants de données dans l'océan du web. Dans ces volumes se glissent souvent des données personnelles et volées. C'est pourquoi tout acteur procédant à une Rifi doit respecter certaines règles rappelées par la Commission nationale de l'informatique et des libertés : justifier d'un intérêt légitime, démontrer que la Rifi est nécessaire pour atteindre l'objectif visé, utiliser tous les moyens pour ne pas collecter des données non pertinentes, etc.
Pour respecter ce cadre normatif, Aleph Networks a développé un moteur de recherche permettant à tout acteur de détecter des fuites de ses propres données. Cela permet à la société d'indexer les données plutôt que de les stocker et donc d'échapper à l'accusation de recel. Grâce à ce procédé, seul l'utilisateur mal intentionné qui télécharge des données issues d'un recel peut être inquiété pénalement : "c'est la requête de l'utilisateur du moteur de recherche qui détermine l'intention" précise Nicolas Hernandez. Toutefois, selon Michel Séjean, l'indexation d'informations issues d'un vol de données est assimilée à du recel dans la jurisprudence. Enfin, si un tel moteur de recherche permet à n'importe quel utilisateur de télécharger des données volées, il n'est pas impossible que son fournisseur puisse être considéré comme complice de recel.